小白安全博客

小白记忆
专注网络安全

漏洞

这家伙很懒,还没填写该栏目的介绍呢~

漏洞

Discuz ML! V3.X 代码注入漏洞

作者:Web安全组-CoolCat 漏洞定位 在PoC的代码中填充'.1.'使得代码出错,定位出错代码文件: 代码报错 根据报错跟踪到source/module/portal/portal_index.php第32行 portal_index.php 代码 查看问题函数上方查看......

阅读(263)评论(0)

漏洞

ISP系统中的漏洞

研究人员: Alexey Bukheyev和Aliaksandr Chailytko ISPsystem面板是一个众所周知的软件,具有用户友好的Web界面,用于管理Web服务器,专用服务器,VPS(虚拟专用服务器)和计费。ISPsystem软件产品被全球数百家托管服务提供商使用,包括1Cloud,King S......

阅读(317)评论(0)

漏洞

SpeakUp:一种新的未检测到的后门Linux木马

Check Point Research发现了一项利用Linux服务器植入新Backdoor木马的新活动。 被称为“SpeakUp”的新木马利用了六种不同Linux发行版中已知的漏洞。 该攻击针对全球服务器,包括AWS托管机器。 Check Poi......

阅读(435)评论(0)

漏洞

从WinRAR中提取19年前的代码执行

研究人员:Nadav Grossman 介绍 在本文中,我们讲述了如何使用WinAFL模糊器找到逻辑错误并在WinRAR中利用它来获得对受害者计算机的完全控制的故事。该漏洞利用仅通过提取存档,并使超过5亿用户面临风险。此漏洞已存在超过19年(!)并迫使WinRAR完全放弃对易受攻击格式的支持。 背景......

阅读(427)评论(0)

漏洞

Exchange CVE-2018-8581 提权漏洞预警

Exchange 服务器是由微软提供的邮件服务器,除了传统的邮件基本功能外,在微软背景下 Exchange 与活动目录域服务和其他微软相关服务和组件也有着众多联系。考虑到 Exchange 邮件服务器在企业环境中使用占比非常高,该漏洞影响范围也比较广,请用户及时采取相应的应对措施。 漏洞影响范围 Exchange 2010 ~ Ex......

阅读(509)评论(0)

漏洞

FreeBuf发布_基于Docker的CVE-2018-15473漏洞复现

本文作者:522952110[https://www.freebuf.com/author/522952110] 首先,先将poc地址给下:https://github.com/Rhynorater/CVE-2018-15473-Exploit 这个poc下使用了docker作为虚拟机靶机。 首先,我们开始装docker,这里提醒各位,......

阅读(424)评论(0)

漏洞

重置dedecms管理员后台密码重现及分析

0×00 概述 2018年1月,网上爆出dedecms v5.7 sp2的前台任意用户密码重置和前台任意用户登录漏洞,加上一个管理员前台可修改其后台密码的安全问题,形成漏洞利用链,这招组合拳可以重置管理员后台密码。 先来看看整体利用流程:    重置adm......

阅读(1135)评论(0)

漏洞

CVE-2018-4878 Flash 0day漏洞攻击样本解析

背景 2018年1月31日,韩国CERT发布公告称发现Flash 0day漏洞的野外利用,攻击者执行针对性的攻击;2月1日Adobe发布安全公告,确认Adobe Flash Player 28.0.0.137 及早期版本存在远程代码执行漏洞(CVE-2018-4878);2月2日,Cisco Talos团队发布了事件涉及攻击样本的......

阅读(950)评论(0)

漏洞

转载Freebuf文章【通过adbd配置漏洞在安卓设备上提升权限】

近日,Android上的一个本地提权漏洞已被确认,该漏洞可通过设备上运行的Android Debug Bridge Daemon(adbd)被利用。 如果一个安卓设备被发现正在运行于TCP端口监听的adbd,那么设备上运行的恶意程序就可以进行连接和身份验证,从而实现提权。该漏洞影响版本为Android 4.2.2到Android 8.0,......

阅读(466)评论(0)

漏洞

Emlog博客系统5.3.1现存bug-请及时修复

注:以下内容转自纸盒博客因此教程引起的一切问题与"小白安全博客"无任何关系。 以下bug来自于小草窝-小草、乌云镜像库 (并修复) 1. csrf导致的data.php 删除文件漏洞 2. 对插件处防止csrf攻击。 3. 修复session验证导致的后台无视验证码暴力......

阅读(637)评论(0)

漏洞

文件包含漏洞-懒人安全

一.漏洞描述 文件包含漏洞主要是程序员把一些公用的代码写在一个单独的文件中,然后使用其他文件进行包含调用,如果需要包含的文件是使用硬编码的,那么一般是不会出现安全问题,但是有时可能不确定需要包含哪些具体文件,所以就会采用变量的形式来传递需要包含的文件,但是在使用包含文件的过程中,未对包含的变量进行检查及过滤,导致外部提交的恶意数据作为变量进......

阅读(532)评论(0)